文档介绍:重要信息系统定级工作�有关具体问题说明
来宾市公安局网安支队麦浩
2013年11月4日
目录
一、信息系统等级保护工作的政策体系及标准体系
二、等级保护定级备案工作的具体内容和要求
三、如何起草定级报告
四、如何填写备案表
五、等级保护有关资料
一、信息系统等级保护工作概述
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。
汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。
信息安全等级保护政策体系
信息系统等级保护的政策体系
1、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
2、《信息安全等级保护管理办法》公通字[2007]43号)
3、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
4、《信息安全等级保护备案实施细则》(公信安[2007]1360号)
5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号)
信息系统等级保护的政策体系
6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)。
8、《关于印发〈信息系统安全等级测评报告模版(试行)〉的通知》(公信安[2009]1487号)
9、《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)
多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。
信息安全等级保护标准体系
(一)信息安全等级保护政策体系
基础标准:
《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。
安全要求:
《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范
信息安全等级保护标准体系
系统等级:
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则
方法指导:
《信息系统安全等级保护实施指南》
《信息系统等级保护安全设计技术要求》
现状分析:
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
信息安全等级保护标准体系
在应用有关标准中需注意的几个问题:
1、《基本要求》是阶段性目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
2、《基本要求》中不包含安全设计和工程实施等内容,因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。
3、在进行安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。